mofunzone给antivir的帖子译文！

hahacomcn

原帖http://bbs.kafan.cn/viewthread.php?tid=86135&extra=page%3D1

【翻译水平有限，还望读者见谅，尤其可能有些误解了mofunzone本意，在此道歉～！ 】
mofunzone给AVIRA的一些建议：
       到目前为止，我已经提供给avira800个病毒文件了，在antivir8系列出来之前，我想提供一些建议：
       第一：antivir需要提供更多脱壳的支持，我是一名来自中国的antivir用户，我想你们应该知道在中国病毒数
量和种类是很庞杂的。在网上，我看过一些视频，是关于如何使制作的木马突破反病毒软件的，机会所有的病
毒都会对自身进行加壳处理，但是antivir甚至不能脱掉大部分的壳，比如Nspack、Nsanti(antivir检测到每
个加Nsanti壳的文件，都报crypt.nsanti.gen，同时检测每个加Nspack壳的病毒，都报heur/crypted或者PCK
，“简直使废物！”，对不起，言语激进了些)。我认为avira应该尝试加入虚拟脱壳机，像Bitdefender和
ESET NOD32那样，或者从kaspersky或Dr.web取得些支持(据我所知，你们同kaspersky的关系不错)，
kaspersky和Dr.web在脱壳方面的能力都很厉害。希望你们在antivir8系列不会在出现tr/crypted.****.gen的
检测报告了。
      第二：自我保护。在antivir7系列，可以很容易的通过windows任务管理器终止avira的运行。据说，你们将在
antivir8系列加强自身的保护机制，在此，我想提出一个建议，别让一些终止进程的工具来终止小红伞的进程
(kaspersky在这方面表现就很差强人意，可以通过icesword来终止kaspersky进程)，看看NOD32的保护机制，
在进程被终止的时候，可以在此建立自身进程。就如一些病毒所为，通过调用win32的服务，扫描那受保护的
进程，如果进程消失，重新开启它，毕竟有些病毒只会终止进程一次。病毒只能中断你的服务，并不能终止你
的进程)。
      第三：特征码。希望你们能谨慎对待加入病毒库的特征码，误报是很可怕的事情，我给avira上传了2个文件，小红伞检测出该病毒文件为downloader.aww.1，恩，没错。然而，我在此上传2个文件，其中之一是已经上传过的，你们检测是无毒文件，被认为是downloader.aww和aww.1。真是糟透了，这个无毒文件是qqgame.exe，我上传它，希望你们弥补这次误报，而你们却告诉我这是一个损坏的文件。我知道该文件不能独立运行，所以我告诉你们下载地址，希望你们能够弥补该误抱，但是你们却没有做到。该文件在中国是一个很有名的游戏平台文件，卡饭论坛里面众多用户对此唉声怨道，而我所能做的唯一事情是告诉他们排除之，唉……
       因此，我真的想在你们的上传病毒的网页处加入common，同时你们应该对common认真对待。上周，antivir错误的检测到卡饭论坛的网页有html/spy.agent.tre病毒，在周五我上传了该文件，你们很快回复是错误的检测，但当天却没有从病毒库里面移除。在周六和周日，我接连5次上传该文件，也是5次得到相同的回应，但仍然未移出病毒库。在周一，我从文件中删除了些东西，以改变文件大小和MD5值，在此上传，在分析之后，在周一晚上才移除了。我想知道你们是否真正多次看过周六和周日的那些文件，或者只是通过分析机来回复。而这次误抱真的伤害了我们这些用户的心，甚至是那些免费用户，这次误抱是不可原谅的，因此，学多小红伞的用户们现在都转到了avast的阵营，同样也是免费的，病毒检出率也不错，更少的误报，这会令你们减少潜在的
用户的。
       第四：防火墙。小红伞的安全套装防火墙如同摆设(言语过激，抱歉！)，然而我对此并不在意，因为从未用过防火墙和HIPS，因为这些软件需要我不厌其烦整天的来按YES或者NO的按钮，但那些购买产品的用户会怎么样呢？comodo防火墙是免费的，但看看人家在泄漏测试中的表现和评价。
         最后，我并是在嘲讽你们，请仔细考虑以上的这些文字。我认为世事没有最好，只有更好，但是你们必须不断的努力，不是吗？kaspersky现在的处境如中国用户所言，减缓你的电脑和让你的电脑发出恐怖的叫声，而他们评估版7系列变得更糟糕。NOD32由于采用了启发模式，它能够对每个样本脱壳，再提取特征码，否则他们如果带壳入库的话，也将会很搞玩的。因此，NOD32对他们产品的相应时间直到1个月之久，bitdefender也会使
电脑运行变慢，dr.web同样再脱壳上耗费了很多时间，让电脑变慢。
我在考虑现在我是否只用symantec就好了。
希望你们能够取得巨大的成就，感谢在百忙之中听听我的抱怨和唠叨。
原文：http://forum.antivir.de/thread.php?threadid=22082

Zitat：
Stefan Kurtzhals发的帖子：
脱壳并不能解决所有问题。记住，你能够轻而易举的加上好几层混合壳，以致于NOD32,KAV,BD,Dr.web或其他
杀软能够脱壳或者仿真他们。
如果仿真的时间需要超过60S，而得到的益处只是能够对同一种壳的一些变化进行脱壳。NOD32在对恶意软件的采集，对于广告的启发扫描速度是糟糕透顶的，比AntiVir慢上100倍。你觉得为了得到个更精确的检测结果，
而耗费了高的代价值得吗？
同时，KAV,NOD32,BD,Dr.web也加入了packer/crypter基本检测，或者已经长时间这么做了。如Peed.Gen,
Packer.Morphine, Packer.Win32.CryptExe,Win32.Pacex.Gen等等。Heck告诉我们，任何防病毒软件如今不在
这样做了。
加入脱壳和好的虚拟机的确不错，但它并不能解决所有的检测问题。而已软件制作者如果想并且做足工作的话
，仍然可以通过杀毒软件的检测。

OK
我很乐意接受你的建议
但如同你所说的，脱壳并不能解决所有问题，但是至少antivir应具备基本脱壳的能力，如下列举一个例子，
我是如何轻而易举的通过小红伞的。
antivir今早刚刚更新了引擎，增强了对多动态病毒的检测，但是检测了这个文件后，是多么好笑的，而我所
需要的只是加了aspack壳。我对该加了两次壳，antivir却检测不出。
我只是想说，请从kaspersky那取得些技术支持吧，我不关心引擎能够检测出多少壳出来，但是脱壳仍然是解
决问题的最好办法。
原始文件下载：
http://www.freewebtown.com/mofunzone/antivir/original.rar
加壳文件下载：
http://www.freewebtown.com/mofunzone/antivir/packed.rar
我将把检测结果贴在这里，因为我已经上报给antivir了，而我猜测你们将会把特征码加入到病毒库中。


Starting the file scan:
Begin scan in 'C:\Documents and Settings\morgan\My Documents\packed.rar'
C:\Documents and Settings\morgan\My Documents\
  packed.rar
    [0] Archive type: RAR
    --> 123.exe
Begin scan in 'C:\Documents and Settings\morgan\My Documents\original.rar'
C:\Documents and Settings\morgan\My Documents\
  original.rar
    [0] Archive type: RAR
    --> 123.exe
        [DETECTION] Contains code of the Windows virus W32/HLLW.Starfil
        [WARNING]   Infected files in archives cannot be repaired!
        [WARNING]   The file was ignored!

End of the scan: 2007年5月16日  21:58
Used time: 00:06 min
The scan has been done completely.
      0 Scanning directories
      4 Files were scanned
      1 viruses and/or unwanted programs were found
      0 classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      0 Files cannot be scanned
      3 Files not concerned
      2 Archives were scanned
      2 Warnings
      0 Notes
      0 Hidden objects were found

Steve：
抱歉，如果我忽略这点(这个也可能有误)。但是，加壳病毒文件只有脱壳之后，才能起作用
如果能通过脱壳检测到，也是没问题的。检测加壳恶意软件是份外之事(这个翻译可能不妥)。

hahacomcn

，感觉商家的态度都差不多，是对自己技术自信了，还是顽固不化。

[ 本帖最后由 hahacomcn 于 2007-5-18 22:44 编辑 ]

欠妳緈諨

M版写的很好，支持！ ，不过貌似德国人也很顽固！

solcroft

原帖由 欠你幸福 于 2007-5-19 00:51 发表
M版写的很好，支持！ ，不过貌似德国人也很顽固！

身为厂商，有时候也多多少少要坚持自己的理念一下
就拿ESET当例子，在官方论坛上讨论处理上报速度=删贴

欠妳緈諨

原帖由 solcroft 于 2007-5-18 23:27 发表

身为厂商，有时候也多多少少要坚持自己的理念一下
就拿ESET当例子，在官方论坛上讨论处理上报速度=删贴

汗一个

solcroft

原帖由 欠你幸福 于 2007-5-19 01:00 发表

汗一个

其实这也很难说
厂商对自己产品的认识，对病毒的专业知识肯定比我们这些一般用户来的多
不听外行人的“劝告”，也未必一定是固执

buycard

讨论上报速度已经成了口水贴了，当然要删，NOD32的论坛已经多次讨论过了上报的问题。

7even

不管怎样
我支持红伞
因为我很【顽固】

solcroft

原帖由 buycard 于 2007-5-19 01:06 发表
讨论上报速度已经成了口水贴了，当然要删，NOD32的论坛已经多次讨论过了上报的问题。

一向来喜欢不知情就说空话的朋友，你还是少来这一套了吧

aoyang

一口气写这么多，真不容易。建议都很不错，至于是否采纳是他们官方的事情了。